恶意软件正在利用SSL服务器窃取用户个人信息!

安全套接层协议(SSL)及安全传输层协议(TLS)旨在提供一个安全、加密的客户端和服务器之间的连接网络。为进一步进行身份验证和加密,服务器必须提供证书,从而直接有效地证明其身份。

使用 SSL 连接,双方可以确保沟通的有效性和安全性。这对某些服务来说非常有用,例如网络银行、电子邮件、社交网络等需要建立安全通道来交换客户端和服务器间的信息。然而不幸的是,这项技术已成为一把双刃剑。Android 恶意软件正在利用 SSL 来隐藏自身行为并且逃避侦测。

使用 SSL 服务器

SSL服务器已经成为Android恶意软件的目标。恶意软件可以使用下列三种之一的服务器。

1、不知名自行管理服务器——要使用不知名的自行管理SSL服务器,恶意软件作者需要建立自己的TrustManager(TrustManager可以决定接受凭证)和SSLSocket让其恶意应用程序信任该服务器证书。建立自己的TrustManager和SSLSocker是必要的,因为恶意软件服务器证书通常并没有默认包含在Android操作系统中。这样做通常需要更多的精力:当服务器或网域变更时(通常是为了应对防毒侦测),SSL连接在验证过程中可能会失败。恶意软件作者必须更新证书和客户端应用程序以重新建立连接。此外,使用自行签发的证书和固定的服务器会被安全公司轻易而快速地侦测。所以只有少数恶意软件利用这种方式也就并不令人惊讶。

2、知名公开网站代管 SSL服务器——考虑到维护自行管理 SSL 服务器的困难,利用知名公开网站代管 SSL 服务器要方便得多。这些服务器和网域通常都公开、稳定而且经过授权。它们拥有的证书通常是经由受信任第三方(TTP)证书机构(CA)所签发。在预设情况下,Android操作系统会信任这些证书,因为这些CA已经被预装到系统默认信任的储存区(truststore)。恶意软件作者可以伪造身份来将其恶意服务放到这些知名网站代管服务器上,提供和受感染设备间的加密连接。

例如,一个被侦测为  AndroidOS_Exprespam.A 的恶意软件在一知名美国网站代管服务器上建立了恶意后端服务,此代管服务器提供了RapidSSL CA签发证书所进行的HTTPS连接。用此授权证书,恶意应用程序可以透过HTTPS上传窃取数据到服务器上而无需自建TrustManager。

图1、知名服务器的证书

图2、信息透过HTTPS发送到服务器

3、知名公开服务——Android 恶意软件还可以利用知名公开服务来进行攻击。根据我们的分析,有三种应用程序服务经常被Android恶意软件所利用:基于SSL的电子邮件、Android的Google云信息传递(GCM)和受欢迎的社交网络。透过知名公开服务,攻击者可以轻易地发动命令与控制(C&C)攻击而不会被注意到。

滥用知名公开服务

我们观察到几个Android恶意软件会如上述那样利用公开服务:

使用电子邮件——ANDROIDOS_GMUSE.HNT伪装成档案管理应用程序。这种恶意软件会窃取用户和设备信息,如IMEI、电话号码和储存在SD卡中的图像。每当用户启动应用程序或重启手机,该应用程序会启动一个背景服务将上述信息转储并使用一个写在程序内的Gmail帐户和密码来将信息发送到特定电子邮件地址。

图3、包含 Gmail 账号的代码片段

Google云存储信息——NDROIDOS_TRAMP.HAT会试图将自己伪装成一种官方Google服务。它收集用户信息,如电话号码、位置和联系人列表。一旦执行,它会注册 GCMBroadCastReceiver。恶意应用程序接着会通过Google云的信息传递发送窃取的数据。Google云存储信息会被用在恶意应用程序的C&C通讯。例如“发送信息”、“封锁通话”和“取得目前位置”等指令会透过Google云存储信息来发送和接收。

图4、恶意软件使用Google云存储信息来追踪当前所在位置

受欢迎的社交网络——ANDROIDOS_BACKDOORSNSTWT.A会通过Twitter来发动其C&C攻击。恶意软件抓取Twitter网址,将截取的信息结合写在程序内的字符串来产生新的C&C网址用于攻击,被盗信息会发送到生成的网址。

图5、“this.WILLIAM”包含撷取来的字符串

SSL的好处也成了它的坏处

网络犯罪份子使用SSL有一些原因,例如和明文传输相比,通过SSL发送的数据无法被轻易地发觉,一些基于TCP流量监控的动态分析并没有办法很好地运作。

网络犯罪分子会针对SSL服务器和服务也许是因为他们不需要花费什么力气就能够取得这些网站的访问权限。他们可以通过正常管道进行,比如向网站代管服务购买虚拟主机或在Twitter上注册一个新账号。我们将会看到更多对SSL的使用(或说是滥用),然而侦测恶意应用程序可能还不够。与服务器及服务供货商合作以删除相关网址、电子邮件地址等是必要的做法。

鉴于Android恶意软件的不断发展,我们建议使用者只从合法来源下载Android应用程序。第三方应用程序商店可能不会同样严格地来扫描可能的恶意应用程序。我们也建议使用者使用趋势科技移动安全防护软件来侦测并封锁可能对移动设备造成危害的威胁。

时间: 2024-11-07 11:40:39

恶意软件正在利用SSL服务器窃取用户个人信息!的相关文章

利用ACS服务器实现用户的认证、授权和审计

需要分析: 某医院在中国北京.上海.广州.青岛等多个地方有分院和诊所,并通过SDH专线进行互联实现信息化连接,来实现办公网.视频会议等信息的传递.该院通过几年信息化,目前全国网络设备(包括交换机.路由器.防火墙.无线控制器等)共有大概200余台.全国共有IT人员十几人.为了管理方便,北京.上海等各城市的网络设备管理各自为阵,由各个地方的IT人员进行管理.而每个地方的所有设备的密码为了方便登录都设备成一致的,例如北京的设备密码都设置为bj001,上海的的设置密码为sh001.考虑到安全问题,密码每

"军装照"泄露用户隐私信息?剧情反转扑朔迷离

建军90周年的阅兵相信大家都没错过,而在网络上流行的军装照一定有很多朋友试过了.不得不说,这款H5小应用在热点时间段发出,带来的用户量和体验是巨大的,估计很多朋友圈都被军装秀给刷屏了,伙伴们都穿上军装,真实上演了一场公众军装秀.而就在大伙纷纷开始点赞晒图的时候,却有人称,该应用是一款窃取用户隐私信息的恶意软件,并声称该应用并非人民日报推出,而是一种新的网络诈骗行为. 此类言语出现在网上,很多人都开始删除自己的照片,害怕隐私信息被暴露,有人称"本来觉得挺好玩的,但没有想到竟然是诈骗网站,现在的骗术

工程师入侵公司服务器 窃取企业用户通讯录被公诉

为了炫耀自己的计算机技术,网络工程师孙某利用北京某通信有限公司计算机系统存在的网络漏洞,入侵该公司的服务器,窃取其企业用户通讯录16000余组.日前,孙某因涉嫌非法获取计算机信息系统数据罪被昌平检察院提起公诉. 意外发现网络漏洞 孙某毕业于北京某大学的计算机科学与技术专业,是安全测试工程师.因为孙某所在公司是北京某通信有限公司的用户,作为公司网络安全工程师的孙某经常会同该公司发生业务往来,时间长了,孙某发现该通信公司的网络系统存在漏洞.出于好奇,同时也是为了考验自己的"业务水平",孙某

Android:利用本地服务器-创建数据库-构建用户表(注册)

1.创建一个用户信息类,这里包括你想要记录下的用户信息 public class UserData { private String userName; private String userPwd; private String userPhone; private String userMail; private String userAds; private int userId; public String getUserName() { return userName; } publi

利用apache服务器搭建个人主页

一.Apache服务器的用途: Apache 是一个开放源码的网页服务器,可以在大多数计算机操作系统中运行,由于其多平台和安全性被广泛使用,是最流行的Web服务器端软件之一.它快速.可靠并且可通过简单的API扩展,将Perl/Python等解释器编译到服务器中. Apacheweb服务器软件拥有以下特性: 支持最新的HTTP/1.1通信协议 拥有简单而强有力的基于文件的配置过程 支持通用网关接口 支持基于IP和基于域名的虚拟主机 支持多种方式的HTTP认证 集成Perl处理模块 集成代理服务器模

MySQL(二):主从复制结构、双主复制结构、利用SSL实现安全的MySQL主从复制

主从复制结构.双主复制结构.利用SSL实现安全的MySQL主从复制 一.主从复制结构实验 1.主服务器配置 可以先更改server_id 在/etc/my.cnf文件中,添加 server_id=11 重启服务,在mysql命令行查看 MariaDB [(none)]> select @@server_id; +-------------+ | @@server_id | +-------------+ |        11 | +-------------+ 1 row in set (0.

C#利用SMTP服务器发送邮件

使用.net(C#)发送邮件学习手册(带成功案例) 1.了解发送邮件的三种方式 2.实例介绍使用client.DeliveryMethod = System.Net.Mail.SmtpDeliveryMethod.PickupDirectoryFromIis 3.如何设定本机IIS的SMTP服务器 1.了解发送邮件的三种方式 第一:client.DeliveryMethod = System.Net.Mail.SmtpDeliveryMethod.Network; //通過遠程SMTP服務器傳送

利用Scrapy爬取所有知乎用户详细信息并存至MongoDB

欢迎大家关注腾讯云技术社区-博客园官方主页,我们将持续在博客园为大家推荐技术精品文章哦~ 作者 :崔庆才 本节分享一下爬取知乎用户所有用户信息的 Scrapy 爬虫实战. 本节目标 本节要实现的内容有: 从一个大V用户开始,通过递归抓取粉丝列表和关注列表,实现知乎所有用户的详细信息的抓取. 将抓取到的结果存储到 MongoDB,并进行去重操作. 思路分析 我们都知道每个人都有关注列表和粉丝列表,尤其对于大V来说,粉丝和关注尤其更多. 如果我们从一个大V开始,首先可以获取他的个人信息,然后我们获取

Androidframework窃取用户隐私病毒分析

一. 恶意行为 1.病毒启动后申请root权限,hook系统服务进程,影响用户设备正常关机: 2.接收广播,私自进行拍照并上传至服务器等行为: 3.窃取用户短信,联系人,地理等信息并上传: 4.拦截短信并上传至服务器. 二. 流程图 三. 详细分析 1.软件自身dex分析 软件运行后启动服务com.phone.CService,调用hide()方法隐藏图标, 申请root权限 注册大量广播接收器: PictureAgainReceiver用于接收广播picture.again调用SelfCame